Katalog CVE

CVE-2026-41700

WysokieCVSS 8.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 - wyżej niż 8% wszystkich znanych CVE

Streszczenie

Podatność w Spring for GraphQL umożliwia przejęcie sesji WebSocket przez atakującego, który może nakłonić uwierzytelnionego użytkownika do odwiedzenia złośliwej strony. Pozwala to na wykonywanie dowolnych operacji GraphQL w imieniu ofiary.

Ocena ryzyka

Ryzyko polega na możliwości kradzieży danych lub manipulacji nimi poprzez nieautoryzowane operacje GraphQL, co może prowadzić do naruszenia poufności i integralności systemu.

Rekomendacja

Należy niezwłocznie zaktualizować Spring for GraphQL do wersji 2.0.4, 1.4.6, 1.3.9 lub 1.0.7, w zależności od używanej gałęzi. Dodatkowo rozważ wdrożenie mechanizmów ochrony przed CSRF dla WebSocket.

Oryginalny opis (angielski, źródło NVD)

Spring for GraphQL applications that have enabled the WebSocket transport are vulnerable to Cross-Site WebSocket Hijacking. An attacker can trick an authenticated user into visiting a malicious page, allowing the attacker to execute arbitrary GraphQL operations with the victim's credentials. Affected versions: Spring for GraphQL 2.0.0 through 2.0.3; 1.4.0 through 1.4.5; 1.3.0 through 1.3.8; 1.0.0 through 1.0.6.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS